CN104980402B - 一种识别恶意操作的方法及装置 - Google Patents
一种识别恶意操作的方法及装置 Download PDFInfo
- Publication number
- CN104980402B CN104980402B CN201410141592.9A CN201410141592A CN104980402B CN 104980402 B CN104980402 B CN 104980402B CN 201410141592 A CN201410141592 A CN 201410141592A CN 104980402 B CN104980402 B CN 104980402B
- Authority
- CN
- China
- Prior art keywords
- malicious
- account
- user
- message
- probability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种识别恶意操作的方法及装置,属于互联网领域。所述方法包括:接收终端发送的操作请求消息,操作请求消息至少携带用户的用户账号和操作类型;根据用户的用户账号,获取用户的账号恶意值、用户执行该操作类型的操作次数以及发送的消息的垃圾消息判断概率;根据账号恶意值、操作次数和垃圾消息判断概率,确定操作类型对应的操作是否为恶意操作。所述装置包括:接收模块、获取模块和确定模块。本发明可以准确地识别出该操作是否为恶意操作,且使得不法分子想要利用自动机高频率不间断执行恶意操作时,难以制定相应的策略来避免被服务器识别为恶意操作。
Description
技术领域
本发明涉及互联网领域,特别涉及一种识别恶意操作的方法及装置。
背景技术
如今,许多不法分子常常在互联网中执行恶意操作,其中,发送垃圾信息即为一种恶意操作。例如,不法分子常常利用自动机高频率不间断地发送垃圾信息给用户,垃圾信息对用户无任何价值且占用了大量的网络资源,甚至可能带来网络安全隐患,因此需要识别出恶意操作且阻止恶意操作的执行。
目前,现有技术提供了一种识别恶意操作的方法,可以为:接收终端发送的操作请求消息,该操作请求消息携带的用户的用户账号和操作类型,统计该用户在第一时间段内执行与该操作类型相同的操作的第一次数,第一时间段为在当前时刻之前且时长为预设时长的时间段,如果统计出的次数大于技术人员设定的预设次数阈值,则可确定该操作为恶意操作,并下发验证码要求对用户进行验证。例如,假设技术人员设定的预设时长为60秒,预设次数为30次,如果统计出该用户在最近60秒的时间内执行与该操作类型相同的操作的次数大于30次,则可确定该操作为恶意操作。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
仅仅根据第一次数是否大于预设次数来判断该操作是否为恶意操作的策略较简单,不法分子可以轻松总结出预设时长和预设次数,并根据预设时长和预设次数制定相应的策略,避开了服务器的识别策略。例如,不法分子可以设置自动机平均每2.5秒发送一条垃圾信息,如此在最近60秒内发送信息的次数都不会超过30,从而可以避开服务器的识别策略。
发明内容
为了阻止不法分子避开服务器的识别策略,本发明提供了一种识别恶意操作的方法及装置。所述技术方案如下:
一种识别恶意操作的方法,所述方法包括:
接收终端发送的操作请求消息,所述操作请求消息至少携带用户的用户账号和操作类型;
根据所述用户的用户账号,获取所述用户的账号恶意值、所述用户执行所述操作类型的操作次数以及发送的消息的垃圾消息判断概率,所述账号恶意值用于表示所述用户账号为恶意账号的程度,所述消息的垃圾消息判断概率用于表示所述消息为垃圾消息的程度;
根据所述账号恶意值、所述操作次数和所述垃圾消息判断概率,确定所述操作类型对应的操作是否为恶意操作。
一种识别恶意操作的装置,所述装置包括:
接收模块,用于接收终端发送的操作请求消息,所述操作请求消息至少携带用户的用户账号和操作类型;
获取模块,用于根据所述用户的用户账号,获取所述用户的账号恶意值、所述用户执行所述操作类型的操作次数以及发送的消息的垃圾消息判断概率,所述账号恶意值用于表示所述用户账号为恶意账号的程度,所述消息的垃圾消息判断概率用于表示所述消息为垃圾消息的程度;
确定模块,用于根据所述账号恶意值、所述操作次数和所述垃圾消息判断概率,确定所述操作类型对应的操作是否为恶意操作。
在本发明实施例中,当接收到终端发送的操作请求消息时,根据用户的用户账号恶意值、用户执行预设操作的操作次数以及发送的消息的垃圾消息判断概率,可以准确地识别出该操作是否为恶意操作,且使得不法分子想要利用自动机高频率不间断执行恶意操作时,难以制定相应的策略来避免被服务器识别为恶意操作。
附图说明
图1是本发明实施例1提供的一种识别恶意操作的方法流程图;
图2是本发明实施例2提供的一种识别恶意操作的方法流程图;
图3是本发明实施例3提供的一种识别恶意操作的装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
参见图1,本发明实施例提供了一种识别恶意操作的方法,包括:
步骤101:接收终端发送的操作请求消息,该操作请求消息至少携带用户的用户账号和操作类型;
步骤102:根据用户的用户账号,获取用户的账号恶意值、用户执行该操作类型的操作次数以及发送的消息的垃圾消息判断概率,账号恶意值用于表示用户账号为恶意账号的程度,消息的垃圾消息判断概率用于表示消息为垃圾消息的程度;
步骤103:根据该账号恶意值、该操作次数和该垃圾消息判断概率,确定该操作类型对应的操作是否为恶意操作。
在本发明实施例中,当接收到终端发送的操作请求消息时,根据用户的用户账号恶意值、用户执行预设操作的操作次数以及发送的消息的垃圾消息判断概率,可以准确地识别出该操作是否为恶意操作,且使得不法分子想要利用自动机高频率不间断执行恶意操作时,难以制定相应的策略来避免被服务器识别为恶意操作。
实施例2
本发明实施例提供了一种识别恶意操作的方法,该方法用于当接收到终端发送的操作请求消息时,识别该操作请求消息请求的操作是否为恶意操作,如果是,则可以启动后续的控制处理来阻止恶意操作的执行。
参见图2,该方法流程包括:
步骤201:接收终端发送的操作请求消息,该操作请求消息携带用户的用户账号、操作类型和操作内容;
其中,当用户在终端上执行某一操作时,终端获取用户的用户账号、该操作的操作内容和操作类型,生成操作请求消息并发送给服务器,该操作请求消息携带用户的用户账号、该操作的操作内容和操作类型;服务器接收该操作请求消息,将该操作请求消息携带的用户的用户账号作为待分析的用户账号。
其中,操作类型可以为发送消息、订阅其他用户的用户账号或添加好友等,当操作类型为发送消息时,操作内容为用户需要发送的消息;当操作类型为订阅其他用户的用户账号时,操作内容为用户订阅的其他用户的用户账号;当操作类型为添加好友时,操作内容为添加的好友的账号或昵称等。
例如,以微博平台为例,假设用户在微博平台上想要发送一条消息,在终端的消息输入框中输入待发送的消息并提交给终端;终端获取用户的微博账号、操作类型和待发送的消息,其中操作类型为发送消息,生成操作请求消息并发送给服务器,该操作请求消息携带用户的微博账号、操作类型和待发送的消息;服务器接收该操作请求消息,将该操作请求消息携带的用户的微博账号作为待分析的微博账号。
步骤202:根据用户的用户账号,获取用户的账号恶意值,账号恶意值用于表示用户账号为恶意账号的程度;
具体地,可以通过如下(A-1)至(A-4)的流程实现,包括:
(A-1):获取待分析的用户账号为恶意账号的第一先验概率和为非恶意账号的第二先验概率;
具体地,获取已存储的恶意账号集合包括的用户账号的数目、非恶意账号集合包括的用户账号的数目,以及恶意账号集合和非恶意账号集合共同包括的用户账号总数目,计算恶意账号集合包括的用户账号的数目与用户账号总数目之间的比值,得到第一先验概率,计算非恶意账号集合包括的用户账号的数目与用户账号总数目之间的比值,得到第二先验概率。
其中,恶意账号集合中存储的用户账号均为恶意账号,非恶意账号集合存储中存储的用户账号均为非恶意账号。
例如,假设已存储的恶意账号集合包括的用户账号的数目为5万,非恶意账号集合包括的用户账号的数目为6万,则恶意账号集合和非恶意账号集合共同包括的用户账号总数目为11万,5万与11万之间的比值为0.45,6万与11万之间的比值为0.55,则待分析的用户账号为恶意账号的第一先验概率为0.45,以及为非恶意账号的第二先验概率为0.55。
(A-2):确定待分析的用户账号对应的至少一个业务;
其中,用户可以在多个业务中的选择至少一个业务,并在选择的业务注册用户账户,服务器设置选择的每个业务中的用户账户对应的同一用户账号,同时服务器存储该用户账号与业务的对应关系。
例如,假设用户在微博、论坛和网络空间中分别注册一个用户账户,且这三个用户账户对应同一个用户账号,所以获取到该用户账号对应的业务包括微博、论坛和网络空间。
(A-3):根据已存储的恶意账号集合和非恶意账号集合,计算待分析的用户账号分别在其对应的至少一个业务中的每个业务上为恶意账号的概率,用户账号在一个业务上为恶意账号的概率用于表示用户账号在该一个业务上为恶意账号的程度;
对于恶意账号集合中的每个用户账号,该用户账号对应的至少一个业务,在该用户账号对应的业务上该用户账号为恶意账号。对于第二账号集合中的每个用户账号,该用户账号对应的至少一个业务,在该用户账号对应的业务上该用户账号为非恶意账号。
具体地,对于待分析的用户账号对应的每个业务,从恶意账号集合中获取该业务对应的恶意账号,统计获取的恶意账号得到该业务对应的恶意账号的数目。从非恶意账号集合中获取该业务对应的非恶意账号,统计获取的非恶意账号得到该业务对应的非恶意账号的数目。计算该业务对应的恶意账号的数目与恶意账号集合包括的用户账号的数目之间的第一比值,以及计算该业务对应的非恶意账号的数目与非恶意账号集合包括的用户账号的数目之间的第二比值;根据第一比值、第二比值、第一先验概率和第二先验概率,按照如下公式(1)计算待分析的用户账号在该业务上为恶意账号的概率;
其中,在上述公式(1)中,Pn为待分析的用户账号在该业务上为恶意账号的概率,Pd为第一先验概率,Pe为第二先验概率,Pu为第一比值,以及Pv为第二比值。
对于待分析的用户账号对应的其他每个业务均执行上述操作,如此可以计算出待分析的用户账号分别在每个业务上为恶意账号的概率。
例如,假设统计出业务“微博”对应的恶意账号的数目为4000且对应的非恶意账号的数目为5000,计算业务“微博”对应的恶意账号的数目4000与恶意账号集合包括的用户账号的数目5万之间的第一比值为0.08,以及业务“微博”对应的非恶意账号的数目5000与非恶意账号集合包括的用户账号的数目6万之间的第二比值为0.083;并由此根据上述公式(1)计算出待分析的用户账号在业务“微博”上为恶意账号的概率为0.44。
假设统计出业务“论坛”对应的恶意账号的数目为6000且对应的非恶意账号的数目为7000,计算业务“论坛”对应的恶意账号的数目6000与恶意账号集合包括的用户账号的数目5万之间的第一比值为0.12,以及业务“论坛”对应的非恶意账号的数目7000与非恶意账号集合包括的用户账号的数目6万之间的第二比值为0.117;并由此根据上述公式(1)计算出对应的用户账号在业务“论坛”上为恶意账号的概率为0.47。
假设统计出业务“网络空间”对应的恶意账号的数目为8000且对应的非恶意账号的数目为9000。计算业务“网络空间”对应的恶意账号的数目8000与恶意账号集合包括的用户账号的数目5万之间的第一比值为0.16,以及业务“网络空间”对应的非恶意账号的数目9000与非恶意账号集合包括的用户账号的数目6万之间的第二比值为0.15;并由此根据上述公式(1)计算出待分析的用户账号在业务“网络空间”上为恶意账号的概率为0.46。
(A-4):根据第一先验概率、第二先验概率和待分析的用户账号分别在每个业务上为恶意账号的概率,确定用户的账号恶意值。
具体地,根据第一先验概率和待分析的用户账号分别在每个业务上为恶意账号的概率,按照如下公式(2)计算出待分析的用户账号为恶意账号的概率;
Pa=Pd*P1*P2*P3…Pn……(2);
其中,在上述公式(2)中,Pa为待分析的用户账号为恶意账号的概率,Pd为第一先验概率,P1-Pn分别为待分析的用户账号在每个业务上为恶意账号的概率。
然后根据第二先验概率和待分析的用户账号分别在每个业务上为恶意账号的概率,按照如下公式(3)计算出待分析的用户账号为非恶意账号的概率;
Pb=Pe*(1-P1)*(1-P2)*(1-P3)…(1-Pn)……(3);
其中,在上述公式(3)中,Pb为待分析的用户账号为非恶意账号的概率,Pe为第二先验概率。
最后根据待分析的用户账号为恶意账号的概率和待分析的用户账号为非恶意账号的概率,按照如下公式(4)确定用户的账号恶意值;
其中,在上述公式(4)中,Pc为用户的账号恶意值。
例如,根据待分析的用户账号在业务“微博”上为恶意账号的概率0.44、待分析的用户账号在业务“论坛”上为恶意账号的概率0.47、待分析的用户账号在业务“网络空间”上为恶意账号的概率0.46和第一先验概率0.45,按照上述公式(2)计算出待分析的用户账号为恶意账号的概率为0.0428076。
根据待分析的用户账号在业务“微博”上为恶意账号的概率0.44、待分析的用户账号在业务“论坛”上为恶意账号的概率0.47、待分析的用户账号在业务“网络空间”上为恶意账号的概率0.46和第二先验概率0.55,按照上述公式(3)计算出待分析的用户账号为非恶意账号的概率为0.0523204。
根据待分析的用户账号为恶意账号的概率0.0428076与待分析的用户账号为非恶意账号的概率0.0523204,按照上述公式(4)计算出待分析的用号的账号恶意值为0.72。
步骤203:根据用户的用户账号,获取用户执行该操作类型的操作次数;
其中,用户执行该操作类型的操作次数可以为用户在第一时间段执行该操作类型的操作次数,第一时间段为第一时刻到当前时间的时间段,第一时刻在当前时间之前。服务器存储了每个账号对应的历史记录文件,用户每执行一次操作,则自动生成历史记录并存储在用户账号对应的历史记录文件中,历史记录为用户执行的操作以及对应的时间戳。
本步骤具体可以为:服务器根据待分析的用户账号,获取待分析的用户账号对应的历史记录文件,在历史记录文件中获取在第一时间段内的时间戳对应的第一操作,在第一操作中获取与该操作类型相同的第二操作,统计第二操作的个数并作为用户执行该操作类型的操作次数。
例如,假设用户在第一时间段内执行了50次操作,这50次操作中有30次操作的操作类型都为该操作类型,则用户在第一时间段内执行该操作类型的操作次数为30。
步骤204:根据用户的用户账号,获取用户发送的消息的垃圾消息判断概率,垃圾消息判断概率用于表示消息为垃圾消息的程度;
其中,用户发送的消息可以为在第一时间段内发送的消息。
具体地,本步骤可以通过入下(B-1)至(B-4)的流程实现,包括:
(B-1):获取用户发送的消息;
例如,假设获取的用户发送的消息为“连衣裙款式很优雅”。
(B-2):通过TF-IDF(Term Frequency/Inverse Document Frequency,词频/逆向文件频率)算法获取用户发送的消息特征词;
其中,消息特征词可以为用户发送的消息包括的每个实词,实词可以为名词、动词、形容词、数词、量词和代词等。
例如,从用户发送的消息中获取的特征词分别为“连衣裙”、“款式”和“优雅”。
(B-3):对于每个特征词,计算该特征词分别在预设的多个消息集合中的每个消息集合中出现概率;
其中,预设的多个消息集合包括一个非恶意消息集合和至少一个恶意消息集合,非恶意消息集合中存储的消息均为非恶意消息,对于任一个恶意消息集合,该恶意消息集合中存储的消息均为恶意消息,该恶意消息集合对应一个主题,且该消息集合中的每条消息的主题都为该恶意消息集合对应的主题。
对于任一个特征词,计算该特征词在任一个消息集合中出现的概率,可以为:在该消息集合中,统计包含该特征词的消息的数目,计算该数目与该消息集合包括的消息的数目之间的比值,将该比值作为该特征词在该消息集合中出现的概率。
对于其他每个特征词,均可以按照上述方式计算其在每个消息集合中出现的概率。
例如,假设预设的恶意消息集合分别为主题“职业装”对应的恶意消息集合、主题“信用卡”对应的恶意消息集合和主题“网赚”对应的恶意消息集合。
假设主题“职业装”对应的恶意消息集合包括1000条消息,在这1000条消息中,有200条消息包含特征词“款式”,则特征词“款式”在主题“职业装”对应的恶意消息集合中出现的概率为0.2。
假设计算出的特征词“优雅”在主题“职业装”对应的恶意消息集合中出现的概率为0.3,特征词“连衣裙”在主题“职业装”对应的恶意消息集合中出现的概率为0.4,特征词“款式”在主题“信用卡”对应的恶意消息集合中出现的概率为0.5,特征词“优雅”在主题“信用卡”对应的恶意消息集合中出现的概率为0.6,特征词“连衣裙”在主题“信用卡”对应的恶意消息集合中出现的概率为0.7,特征词“款式”在主题“网赚”对应的恶意消息集合中出现的概率为0.3,特征词“优雅”在主题“网赚”对应的恶意消息集合中出现的概率为0.2,特征词“连衣裙”在主题“网赚”对应的恶意消息集合中出现的概率为0.5,特征词“款式”在非恶意消息集合中出现的概率为0.1,特征词“优雅”在非恶意消息集合中出现的概率为0.2,以及特征词“连衣裙”在非恶意消息集合中出现的概率为0.3。
(B-4):根据每个特征词分别在预设的多个消息集合中的每个消息集合中出现概率,计算该消息的垃圾消息判断概率。
具体地,对于预设的多个消息集合中的任一消息集合,根据每个特征词在该消息集合中出现概率,按照如下公式(5)计算该消息在该消息集合中出现的概率;
Pf=Pf1*Pf2*Pf3…Pfn……(5);
其中,在上述公式(5)中,Pf为该消息在该消息集合中出现的概率,Pf1-Pfn分别为每个特征词在该消息集合中出现概率。
根据该消息在该消息集合中出现的概率,通过如下公式(6)计算出该消息在该消息集合中为垃圾消息的概率;
chi=-2ln(Pf);v=L*2;P=invchi2(chi,v)……(6);
其中,在上述公式(6)中,L特征词的数目。
对于其他每个消息集合,均可以按照上述方法计算该消息分别在每个消息集合中为垃圾消息的概率。
然后根据该消息分别在每个消息集合中为垃圾消息的概率,计算该消息的垃圾消息判断概率。
其中,该消息分别在每个消息集合中出现的概率包括该消息分别在每个恶意消息集合出现的第一概率和该消息在非恶意消息集合中出现的第二概率,如果第一概率中数值最大的概率大于或等于第二概率,则将第一概率中数值最大的概率作为该消息的垃圾消息判断概率,如果第一概率中数值最大的概率小于第二概率,则将该消息的垃圾消息判断概率设置为预设数值。其中预设数值可以为0.001或0.002等,本发明对比不加以限定。
例如,根据特征词“款式”在主题“职业装”对应的恶意消息集合中出现的概率0.2、特征词“优雅”在主题“职业装”对应的恶意消息集合中出现的概率0.3与特征词“连衣裙”在主题“职业装”对应的恶意消息集合中出现的概率0.4,计算该消息在主题“职业装”对应的恶意消息集合中出现的概率为0.024。将该消息在主题“职业装”对应的恶意消息集合中出现的概率0.024代入上述公式(6)中,计算出该消息在主题“职业装”对应的恶意消息集合中为垃圾消息的概率0.12。
根据特征词“款式”在主题“信用卡”对应的恶意消息集合中出现的概率0.5,特征词“优雅”在主题“信用卡”对应的恶意消息集合中出现的概率0.6与特征词“连衣裙”在主题“信用卡”对应的恶意消息集合中出现的概率0.7,计算该消息在主题“信用卡”对应的恶意消息集合中出现的概率为0.21。将该消息在主题“信用卡”对应的恶意消息集合中出现的概率0.21代入上述公式(6)中,计算出该消息在主题“信用卡”对应的恶意消息集合中为垃圾消息的概率0.53。
根据特征词“款式”在主题“网赚”对应的恶意消息集合中出现的概率0.3,特征词“优雅”在主题“网赚”对应的恶意消息集合中出现的概率0.2与特征词“连衣裙”在主题“网赚”对应的恶意消息集合中出现的概率0.5,计算该消息在主题“网赚”对应的恶意消息集合中出现的概率为0.03。将该消息在主题“网赚”对应的恶意消息集合中出现的概率0.03代入上述公式(6)中,计算出该消息在主题“网赚”对应的恶意消息集合中为垃圾消息的概率0.17。
根据特征词“款式”在非恶意消息集合中出现的概率0.1,特征词“优雅”在非恶意消息集合中出现的概率0.2,以及特征词“连衣裙”在非恶意消息集合中出现的概率0.3,计算该消息非恶意消息集合中出现的概率为0.006。将该消息在非恶意消息集合中出现的概率0.006代入上述公式(6)中,计算出该消息在非恶意消息集合中为垃圾消息的概率0.09。
由于该消息分别在每个恶意消息集合中为垃圾消息的概率中最大的概率为0.53,且大于在非恶意消息集合中为垃圾消息的概率0.09,因此将0.53作为该消息的垃圾消息判断概率。
步骤205:根据用户的账号恶意值、用户执行预设操作的操作次数以及发送的消息的垃圾消息判断概率,计算操作类型对应的操作的恶意分值;
具体地,按如下公式(7)计算操作类型对应的操作的恶意分值;
其中,G可以为1.8或2.0等,本发明对此不加以限定。
例如,假设G为1.8,将在上述步骤中已经计算出的A=0.72,C=30以及P=0.53代入上述公式(7)中,得到操作类型对应的操作的恶意分值为6.89。
步骤206:操作类型对应的操作的恶意分值,确定该操作是否为恶意操作,如果是,执行步骤207;如果否,执行步骤208;
具体地,判断操作类型对应的操作的恶意分值与预设阈值的大小,如果大于预设阈值,则确定该操作为恶意操作,执行步骤207,如果小于或等于预设阈值,则确定该操作为非恶意操作,执行步骤208。
其中,预设阈值可以为5.0或5.5等,本发明对此不加以限定。
步骤207:阻止该操作的执行或对用户进行验证;
其中,可以直接阻止该操作的执行,或者生成验证码并下发给用户以对用户进行验证,用户输入正确的验证码才能使终端执行该操作。
例如,服务器生成验证码并发送给用户使用的终端,用户在终端的验证码输入框中输入验证码并提交给终端,终端发送用户输入的验证码给服务器,服务器对比下发的验证码和接收的验证码,如果相同,则允许终端执行该操作。
步骤208:允许终端执行该操作。
在本发明实施例中,接收终端发送的操作请求消息时,根据第一先验概率、第二先验概率以及用户账号对应的至少一个业务确定用户的账号恶意值;根据已存储的多个消息集合、用户发送的消息包括的特征词计算用户发送的消息的垃圾消息判断概率;根据用户的账号恶意值、执行预设操作的操作次数和发送的消息的垃圾消息判断概率,计算操作请求消息中的操作类型对应的操作的恶意分值,如此可以根据恶意分值准确识别出该操作是否为恶意操作,且使得不法分子想要利用自动机高频率不间断执行恶意操作时,难以制定相应的策略来避免被服务器识别为恶意操作。
实施例3
参见图3,本发明实施例提供了一种识别恶意操作的装置,包括:
接收模块301,用于接收终端发送的操作请求消息,操作请求消息至少携带用户的用户账号和操作类型;
获取模块302,用于根据用户的用户账号,获取用户的账号恶意值、用户执行该操作类型的操作次数以及发送的消息的垃圾消息判断概率,账号恶意值用于表示用户账号为恶意账号的程度,消息的垃圾消息判断概率用于表示消息为垃圾消息的程度;
确定模块303,用于根据账号恶意值、操作次数和垃圾消息判断概率,确定操作类型对应的操作是否为恶意操作。
优选地,获取模块302包括:
第一计算单元,用于计算恶意账号集合包括的用户账号的数目与恶意账号集合和非恶意账号集合包括的用户账号的总数目之间的比值,得到第一先验概率;
第二计算单元,用于计算非恶意账号集合包括的用户账号的数目与恶意账号集合和非恶意账号集合包括的用户账号的总数目之间的比值,得到第二先验概率;
第一确定单元,用于根据用户的用户账号,确定用户账号对应的至少一个业务;
第三计算单元,用于根据已存储的恶意账号集合和非恶意账号集合,计算用户账号分别在至少一个业务中的每个业务上为恶意账号的概率,用户账号在一个业务上为恶意账号的概率用于表示用户账号在一个业务上为恶意账号的程度;
第二确定单元,用于根据第一先验概率、第二先验概率和用户账号分别在每个业务上为恶意账号的概率,确定用户的账号恶意值。
优选地,第三计算单元包括:
获取子单元,用于根据用户账号对应的每个业务,从已存储的恶意账号集合中获取每个业务对应的恶意账号,以及从已存储的非恶意账号集合中获取每个业务对应的非恶意账号;
第一计算子单元,用于根据每个业务对应的恶意账号的数目、每个业务对应的非恶意账号的数目、第一先验概率和第二先验概率,计算用户账号分别在每个业务上为恶意账号的概率。
优选地,第一计算子单元具体用于计算每个业务对应的恶意账号的数目与恶意账号集合包括的用户账号的数目之间的第一比值,以及每个业务对应的非恶意账号的数目与非恶意账号集合包括的用户账号的数目之间的第二比值;根据第一比值、第二比值、第一先验概率和第二先验概率,计算用户账号分别在每个业务上为恶意账号的概率。
优选地,第二确定单元包括:
第二计算子单元,用于根据第一先验概率、第二先验概率和用户账号分别在每个业务上为恶意账号的概率,计算用户账号为恶意账号的概率和用户账号为非恶意账号的概率;
确定子单元,用于根据用户账号为恶意账号的概率和用户账号为非恶意账号的概率,确定用户的账号恶意值。
优选地,获取模块302包括:
第二获取单元,用于获取用户发送的消息特征词;
第四计算单元,用于计算每个特征词分别在预设的多个消息集合中的每个消息集合中出现的概率,对于预设的多个消息集合中的每个消息集合,消息集合对应一个主题且消息集合中的每条消息的主题都为该消息集合对应的主题;
第五计算单元,用于根据每个特征词分别在预设的多个消息集合中的每个消息集合中出现的概率,计算消息的垃圾消息判断概率。
优选地,第五计算单元包括:
第三计算子单元,用于根据每个特征词分别在每个消息集合中出现概率,计算消息分别在每个消息集合中出现的概率;
第四计算子单元,用于根据消息分别在每个消息集合中出现的概率,计算消息的垃圾消息判断概率。
优选地,确定模块303包括:
第六计算单元,用于根据账号恶意值、操作次数和垃圾消息判断概率,计算操作类型对应的操作的恶意分值;
第三确定单元,用于如果恶意分值大于或等于预设阈值,则确定操作类型对应的操作为恶意操作;
第四确定单元,用于如果恶意分值小于预设阈值,则确定操作类型对应的操作为非恶意操作。
优选地,第六计算单元具体用于按如下公式计算操作类型对应的操作的恶意分值;
在本发明实施例中,当接收到终端发送的操作请求消息时,根据用户的用户账号恶意值、用户执行预设操作的操作次数以及发送的消息的垃圾消息判断概率,可以准确地识别出该操作是否为恶意操作,且使得不法分子想要利用自动机高频率不间断执行恶意操作时,难以制定相应的策略来避免被服务器识别为恶意操作。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种识别恶意操作的方法,其特征在于,所述方法包括:
接收终端发送的操作请求消息,所述操作请求消息至少携带用户的用户账号、操作类型和操作内容;
计算恶意账号集合包括的用户账号的数目与所述恶意账号集合和非恶意账号集合包括的用户账号的总数目之间的比值,得到第一先验概率;
计算所述非恶意账号集合包括的用户账号的数目与所述恶意账号集合和所述非恶意账号集合包括的用户账号的总数目之间的比值,得到第二先验概率;
根据所述用户的用户账号,确定所述用户账号对应的至少一个业务;
根据已存储的恶意账号集合和非恶意账号集合,计算所述用户账号分别在所述至少一个业务中的每个业务上为恶意账号的概率,所述用户账号在一个业务上为恶意账号的概率用于表示所述用户账号在所述一个业务上为恶意账号的程度;
根据所述第一先验概率、所述第二先验概率和所述用户账号分别在所述每个业务上为恶意账号的概率,确定所述用户的账号恶意值;
根据所述用户的用户账号,获取所述用户在第一时间段执行所述操作类型的操作次数以及发送的消息的垃圾消息判断概率,所述发送的消息为所述操作类型为发送消息时的操作内容,所述账号恶意值用于表示所述用户账号为恶意账号的程度,所述消息的垃圾消息判断概率用于表示所述消息为垃圾消息的程度;
获取所述账号恶意值与所述操作次数的乘积,获取所述垃圾消息判断概率的倒数或所述倒数与1的和值,获取所述乘积与所述倒数或所述和值的预设系数次幂的比值,将所述比值作为所述操作类型对应的操作的恶意分值;
如果所述恶意分值大于或等于预设阈值,则确定所述操作类型对应的操作为恶意操作。
2.如权利要求1所述的方法,其特征在于,所述根据已存储的恶意账号集合和非恶意账号集合,计算所述用户账号分别在所述至少一个业务中的每个业务上为恶意账号的概率,包括:
根据所述用户账号对应的每个业务,从已存储的恶意账号集合中获取所述每个业务对应的恶意账号,以及从已存储的非恶意账号集合中获取所述每个业务对应的非恶意账号;
根据所述每个业务对应的恶意账号的数目、所述每个业务对应的非恶意账号的数目、所述第一先验概率和所述第二先验概率,计算所述用户账号分别在所述每个业务上为恶意账号的概率。
3.如权利要求2所述的方法,其特征在于,所述根据所述每个业务对应的恶意账号的数目、所述每个业务对应的非恶意账号的数目、所述第一先验概率和所述第二先验概率,计算所述用户账号分别在所述每个业务上为恶意账号的概率,包括:
计算所述每个业务对应的恶意账号的数目与所述恶意账号集合包括的用户账号的数目之间的第一比值,以及所述每个业务对应的非恶意账号的数目与所述非恶意账号集合包括的用户账号的数目之间的第二比值;
根据所述第一比值、所述第二比值、所述第一先验概率和所述第二先验概率,计算所述用户账号分别在所述每个业务上为恶意账号的概率。
4.如权利要求1所述的方法,其特征在于,所述根据所述第一先验概率、所述第二先验概率和所述用户账号分别在所述每个业务上为恶意账号的概率,确定所述用户的账号恶意值,包括:
根据所述第一先验概率、第二先验概率和所述用户账号分别在所述每个业务上为恶意账号的概率,计算所述用户账号为恶意账号的概率和所述用户账号为非恶意账号的概率;
根据所述用户账号为恶意账号的概率和所述用户账号为非恶意账号的概率,确定所述用户的账号恶意值。
5.如权利要求1所述的方法,其特征在于,所述根据所述用户的用户账号,获取所述用户发送的消息的垃圾消息判断概率,包括:
获取所述用户发送的消息特征词;
计算每个特征词分别在预设的多个消息集合中的每个消息集合中出现的概率,对于所述预设的多个消息集合中的每个消息集合,消息集合对应一个主题且所述消息集合中的每条消息的主题都为所述消息集合对应的主题;
根据所述每个特征词分别在所述预设的多个消息集合中的每个消息集合中出现的概率,计算所述消息的垃圾消息判断概率。
6.如权利要求5所述的方法,其特征在于,所述根据所述每个特征词分别在所述预设的多个消息集合中的每个消息集合中出现的概率,计算所述消息的垃圾消息判断概率,包括:
根据所述每个特征词分别在所述每个消息集合中出现概率,计算所述消息分别在所述每个消息集合中出现的概率;
根据所述消息分别在所述每个消息集合中出现的概率,计算所述消息的垃圾消息判断概率。
7.如权利要求1所述的方法,其特征在于,所述根据所述用户的用户账号,获取所述用户在第一时间段执行所述操作类型的操作次数以及发送的消息的垃圾消息判断概率之后,所述方法还包括:
如果所述恶意分值小于所述预设阈值,则确定所述操作类型对应的操作为非恶意操作。
8.一种识别恶意操作的装置,其特征在于,所述装置包括:
接收模块,用于接收终端发送的操作请求消息,所述操作请求消息至少携带用户的用户账号和、操作类型和操作内容;
获取模块,所述获取模块包括第一计算单元、第二计算单元、第一确定单元、第三计算单元和第二确定单元;
所述第一计算单元,用于计算恶意账号集合包括的用户账号的数目与所述恶意账号集合和非恶意账号集合包括的用户账号的总数目之间的比值,得到第一先验概率;
所述第二计算单元,用于计算所述非恶意账号集合包括的用户账号的数目与所述恶意账号集合和所述非恶意账号集合包括的用户账号的总数目之间的比值,得到第二先验概率;
所述第一确定单元,用于根据所述用户的用户账号,确定所述用户账号对应的至少一个业务;
所述第三计算单元,用于根据已存储的恶意账号集合和非恶意账号集合,计算所述用户账号分别在所述至少一个业务中的每个业务上为恶意账号的概率,所述用户账号在一个业务上为恶意账号的概率用于表示所述用户账号在所述一个业务上为恶意账号的程度;
所述第二确定单元,用于根据所述第一先验概率、所述第二先验概率和所述用户账号分别在所述每个业务上为恶意账号的概率,确定所述用户的账号恶意值;
所述获取模块用于根据所述用户的用户账号,获取所述用户的账号恶意值、所述用户在第一时间段执行所述操作类型的操作次数以及发送的消息的垃圾消息判断概率,所述账号恶意值用于表示所述用户账号为恶意账号的程度,所述消息的垃圾消息判断概率用于表示所述消息为垃圾消息的程度;
确定模块,包括第六计算单元和第三确定单元;
所述第六计算单元,用于获取所述账号恶意值与所述操作次数的乘积,获取所述垃圾消息判断概率的倒数或所述倒数与1的和值,获取所述乘积与所述倒数或所述和值的预设系数次幂的比值,将所述比值作为所述操作类型对应的操作的恶意分值;
第三确定单元,用于如果所述恶意分值大于或等于预设阈值,则确定所述操作类型对应的操作为恶意操作。
9.如权利要求8所述的装置,其特征在于,所述第三计算单元包括:
获取子单元,用于根据所述用户账号对应的每个业务,从已存储的恶意账号集合中获取所述每个业务对应的恶意账号,以及从已存储的非恶意账号集合中获取所述每个业务对应的非恶意账号;
第一计算子单元,用于根据所述每个业务对应的恶意账号的数目、所述每个业务对应的非恶意账号的数目、所述第一先验概率和所述第二先验概率,计算所述用户账号分别在所述每个业务上为恶意账号的概率。
10.如权利要求9所述的装置,其特征在于,
所述第一计算子单元具体用于计算所述每个业务对应的恶意账号的数目与所述恶意账号集合包括的用户账号的数目之间的第一比值,以及所述每个业务对应的非恶意账号的数目与所述非恶意账号集合包括的用户账号的数目之间的第二比值;根据所述第一比值、所述第二比值、所述第一先验概率和所述第二先验概率,计算所述用户账号分别在所述每个业务上为恶意账号的概率。
11.如权利要求8所述的装置,其特征在于,所述第二确定单元包括:
第二计算子单元,用于根据所述第一先验概率、第二先验概率和所述用户账号分别在所述每个业务上为恶意账号的概率,计算所述用户账号为恶意账号的概率和所述用户账号为非恶意账号的概率;
确定子单元,用于根据所述用户账号为恶意账号的概率和所述用户账号为非恶意账号的概率,确定所述用户的账号恶意值。
12.如权利要求8所述的装置,其特征在于,所述获取模块包括:
第二获取单元,用于获取所述用户发送的消息特征词;
第四计算单元,用于计算每个特征词分别在预设的多个消息集合中的每个消息集合中出现的概率,对于所述预设的多个消息集合中的每个消息集合,消息集合对应一个主题且所述消息集合中的每条消息的主题都为所述消息集合对应的主题;
第五计算单元,用于根据所述每个特征词分别在所述预设的多个消息集合中的每个消息集合中出现的概率,计算所述消息的垃圾消息判断概率。
13.如权利要求12所述的装置,其特征在于,所述第五计算单元包括:
第三计算子单元,用于根据所述每个特征词分别在所述每个消息集合中出现概率,计算所述消息分别在所述每个消息集合中出现的概率;
第四计算子单元,用于根据所述消息分别在所述每个消息集合中出现的概率,计算所述消息的垃圾消息判断概率。
14.如权利要求8所述的装置,其特征在于,所述确定模块还包括:
第四确定单元,用于如果所述恶意分值小于所述预设阈值,则确定所述操作类型对应的操作为非恶意操作。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条程序,所述程序由处理器加载并执行以实现如权利要求1至权利要求7任一项所述的识别恶意操作的方法所执行的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410141592.9A CN104980402B (zh) | 2014-04-09 | 2014-04-09 | 一种识别恶意操作的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410141592.9A CN104980402B (zh) | 2014-04-09 | 2014-04-09 | 一种识别恶意操作的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104980402A CN104980402A (zh) | 2015-10-14 |
CN104980402B true CN104980402B (zh) | 2020-02-21 |
Family
ID=54276512
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410141592.9A Active CN104980402B (zh) | 2014-04-09 | 2014-04-09 | 一种识别恶意操作的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104980402B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105701684B (zh) * | 2016-01-11 | 2020-12-08 | 腾讯科技(深圳)有限公司 | 一种数据处理方法以及装置 |
CN107645483B (zh) * | 2016-07-22 | 2021-03-19 | 创新先进技术有限公司 | 风险识别方法、风险识别装置、云风险识别装置及系统 |
CN107124391B (zh) * | 2016-09-22 | 2021-11-16 | 北京星选科技有限公司 | 异常行为的识别方法及装置 |
CN106528680A (zh) * | 2016-10-25 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种垃圾信息识别方法及装置 |
CN108243142A (zh) * | 2016-12-23 | 2018-07-03 | 阿里巴巴集团控股有限公司 | 识别方法和装置以及反垃圾内容系统 |
CN107220867A (zh) * | 2017-04-20 | 2017-09-29 | 北京小度信息科技有限公司 | 对象控制方法及装置 |
CN107335220B (zh) * | 2017-06-06 | 2021-01-26 | 广州华多网络科技有限公司 | 一种消极用户的识别方法、装置及服务器 |
CN112533019B (zh) * | 2020-12-02 | 2023-04-07 | 中国联合网络通信集团有限公司 | 用户设备的检测方法和装置 |
CN114039772B (zh) * | 2021-11-08 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 针对网络攻击的检测方法及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101877680A (zh) * | 2010-05-21 | 2010-11-03 | 电子科技大学 | 一种垃圾邮件发送行为控制系统及方法 |
CN102368842A (zh) * | 2011-10-12 | 2012-03-07 | 中国联合网络通信集团有限公司 | 移动终端异常行为的检测方法和检测系统 |
CN102739683A (zh) * | 2012-06-29 | 2012-10-17 | 杭州迪普科技有限公司 | 一种网络攻击过滤方法及装置 |
CN103248472A (zh) * | 2013-04-16 | 2013-08-14 | 华为技术有限公司 | 一种处理操作请求的方法、系统以及攻击识别装置 |
CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
CN103428183A (zh) * | 2012-05-23 | 2013-12-04 | 北京新媒传信科技有限公司 | 恶意网址的识别方法和装置 |
CN103595614A (zh) * | 2012-08-16 | 2014-02-19 | 无锡华御信息技术有限公司 | 一种基于用户反馈的垃圾邮件检测方法 |
-
2014
- 2014-04-09 CN CN201410141592.9A patent/CN104980402B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101877680A (zh) * | 2010-05-21 | 2010-11-03 | 电子科技大学 | 一种垃圾邮件发送行为控制系统及方法 |
CN102368842A (zh) * | 2011-10-12 | 2012-03-07 | 中国联合网络通信集团有限公司 | 移动终端异常行为的检测方法和检测系统 |
CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
CN103428183A (zh) * | 2012-05-23 | 2013-12-04 | 北京新媒传信科技有限公司 | 恶意网址的识别方法和装置 |
CN102739683A (zh) * | 2012-06-29 | 2012-10-17 | 杭州迪普科技有限公司 | 一种网络攻击过滤方法及装置 |
CN103595614A (zh) * | 2012-08-16 | 2014-02-19 | 无锡华御信息技术有限公司 | 一种基于用户反馈的垃圾邮件检测方法 |
CN103248472A (zh) * | 2013-04-16 | 2013-08-14 | 华为技术有限公司 | 一种处理操作请求的方法、系统以及攻击识别装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104980402A (zh) | 2015-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104980402B (zh) | 一种识别恶意操作的方法及装置 | |
RU2708508C1 (ru) | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями | |
US10063584B1 (en) | Advanced processing of electronic messages with attachments in a cybersecurity system | |
CN108920947B (zh) | 一种基于日志图建模的异常检测方法和装置 | |
CN108810831B (zh) | 短信验证码的推送方法、电子装置及可读存储介质 | |
US8752172B1 (en) | Processing email messages based on authenticity analysis | |
WO2015144058A1 (en) | Account binding processing method, apparatus and system | |
US9122866B1 (en) | User authentication | |
WO2018045977A1 (zh) | 共享资源显示方法,装置及存储介质 | |
EP2715565B1 (en) | Dynamic rule reordering for message classification | |
CN108650260B (zh) | 一种恶意网站的识别方法和装置 | |
CN110798488B (zh) | Web应用攻击检测方法 | |
US9092599B1 (en) | Managing knowledge-based authentication systems | |
CN106470204A (zh) | 基于请求行为特征的用户识别方法、装置、设备及系统 | |
CN107688733B (zh) | 业务接口调用方法、装置、用户终端和可读存储介质 | |
CN106878275B (zh) | 身份验证方法及装置和服务器 | |
US9152775B1 (en) | Question generation in knowledge-based authentication for an enterprise | |
US10284565B2 (en) | Security verification method, apparatus, server and terminal device | |
US20180262482A1 (en) | Information processing method and server | |
CN109040329A (zh) | 联系人标签的确定方法、终端设备及介质 | |
WO2015106728A1 (en) | Data processing method and system | |
US20190058721A1 (en) | Social threat correlation | |
JP6629973B2 (ja) | 携帯電話番号を変更するためのサービス要求を認識する方法及び装置 | |
CN108234454B (zh) | 一种身份认证方法、服务器及客户端设备 | |
US9754209B1 (en) | Managing knowledge-based authentication systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |